一、总 则 

 

（一）编制目的

为提高长白山保护开发区公共资源交易中心（以下简称“中心”）系统网络（交易平台）与信息安全（长白山管委会公共资源交易信息网、评标现场监控视频存储）突发公共事件的应对能力，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，保障信息系统的实体安全、运行安全和数据安全，信息存储安全。总体要求是在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容。

（二）编制依据

《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《国家网络安全事件应急预案》。

（三）工作原则

1.积极防御，综合防范

立足安全防护，加强预警，抓好预防、监控、应急处理、应急保障和打击犯罪环节，在管理、技术、人才等方面，采取各种措施，充分发挥各方面作用，保障中心系统网络与信息安全体系。

2.明确责任，分级负责

按照“谁管理谁负责，谁运维谁负责”的原则，分级分类建立和完善安全责任制度、协调管理机制和联动机制。

3.科学决策，快速反应

加强技术储备，规范应急处理措施和操作流程，网络与信息安全突发公共事件发生时，要快速反应，及时获取准确信息，跟踪研判，及时报告，果断决策，迅速处理，最大限度地减少危害和影响。

（四）适用范围

本预案适用于中心发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。

 

二、组织体系

 

中心成立网络与信息安全应急领导小组和应急工作小组。

（一）应急领导小组

组  长：李　伟

副组长：连　宏  

成  员：李连河　胡学红　段　敏　张晓宇

负责研究制定中心网络与信息安全应急处置工作规划和政策措施，协调推进中心系统网络与信息安全应急机制和工作体系建设。负责应急预案启动和终止命令的下达和授权；负责应急实施过程中的决策和授权；负责对故障处置或演练后预案变更的最终评审和确认。

（二）应急工作小组

组  长：连　宏

副组长：李连河　胡学红

新点软件公司技术人员

1.负责处理应急领导小组的日常工作，检查督促应急领导小组决定事项的落实。

2.研究和制订网络与信息安全应急处置的技术方案，检查、指导和督促中心的网络与信息安全工作，组织开展相关演练。

3.建立网络信息监看制度。每天定期（不少于三次）监看入侵检测系统和流量检测系统和网站页面，及时判断网络运行状态，监看是否发生攻击行为，是否存在病毒传播，网络设备是否正常。

4.建立中心网上舆情监看机制，一旦发现不良信息或异常舆情，在第一时间关闭信息栏目，然后报告应急领导小组，组织相关人员在内部查找原因，寻求解决办法。

5.及时收集网络与信息安全突发公共事件相关信息，分析重要信息并向应急领导小组提出处置建议。对可能演变的网络与信息安全突发公共事件应及时向应急领导小组提出启动本应急预案的建议。

 

三、应急响应流程

 

（一）预防预警

1.落实工作责任制，按照“早发现、早报告、早处置”的原则，加强对各类网络与信息安全突发公共事件和可能引发突发公共事件的有关信息的收集、分析、判断和持续监测。当发生网络与信息安全突发公共事件时，应立即向应急领导小组报告。报告内容主要包括信息来源、影响范围、事件性质、事件发展趋势和采取的措施建议等。领导小组根据事件的严重程度，组织指定小组及时控制信息外漏，按重要程度进行信息控制。

2.发现下列情况应及时向应急领导小组报告：利用网络从事违法犯罪活动；网络或信息系统通信和资源使用异常；网络或信息系统瘫痪；应用服务中断或数据篡改、丢失；网络恐怖活动的嫌疑和预警信息；其它影响网络与信息安全的信息。

3.预警处理与发布，对可能发生或已经发生的网络与信息安全突发公共事件，立即采取措施控制事态，必要时启动相应的预案，同时向应急领导小组报告。应急领导小组接到报告后，对发生和可能发生的网络与信息安全事件，应迅速召开应急领导小组会议，研究确定处置意见，决定启动本预案。对必要的向长白山公安局网监部门和相关部门报告。

（二）事件分类与定级

1.事件分类：①有害程序事件，指蓄意制造、传播有害程序，或是因受到有害程序的影响导致信息安全事件。②网络攻击事件，指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷用暴力攻击对信息系统进行攻击。③信息（存储视频）破坏事件，指通过网络或其他手段造成信息被篡改、假冒、泄露、窃取等而导致的信息（存储视频）破坏事件。④信息内容安全事件，指利用信息网络发布、传播危害国家社会稳定和公共利益的内容安全事件。

2.信息安全事件分级：①特别重大事件，指会使特别重要信息系统遭受特别严重的损失，产生特别重大的社会影响。②重大事件，指特别重要信息系统遭受严重损失，产生重大社会影响。③较大事件，指能够导致较严重影响的信息安全事件，产生较大社会影响。④一般事件，指不满足以上条件的信息安全事件，产生一般的社会影响。

（三）应急响应

1.网站、网页出现非法言论时的处置流程。

（1）网站、网页由信息技术科负责随时密切监视信息内容。

（2）发现网上出现非法信息时，信息技术科派专人处理，作好必要记录，清除非法信息，确认后，再重新启动网站。

（3）信息技术科报告长白山管委会信息中心服务器责任人妥善保存有关记录及日志。

（4）信息技术科通过技术手段追查非法信息来源。

（5）向上级领导汇报处理情况。

（6）如果非法信息不能自行处理或属严重事件的，应保留记录资料并立即向公安部门报警。

2.黑客攻击的紧急处置流程。

（1）当发现网页内容被篡改或通过入侵检测系统发现网络正被攻击时，应立即将被攻击的服务器等设备从网络中隔离出来，保护现场并立刻向领导通报情况。

（2）进行被攻击、破坏系统的恢复、重建工作。

（3）追查非法来源。

（4）向上级领导汇报处理情况。

（5）如果不能自行处理或属严重事件的，应保留记录资料并立即向公安部门报警。

3.病毒安全紧急处置流程。

（1）当发现计算机被感染上病毒后，将该机从网络上隔离开来。

（2）对该设备的硬盘进行数据备份。

（3）启用杀病毒软件对该机器进行杀毒处理工作。

（4）如果现行反病毒软件无法清除该病毒，在确认数据完全备份后，征求使用人同意重装系统。

4.软件系统遭破坏性攻击的紧急处置流程。

（1）重要的软件平时做好备份，并存于移动硬盘备份。

（2）一旦软件遭到破坏性攻击，应及时采取相应措施减少或降低损害，并立刻向领导报告。

（3）信息技术科检查日志等资料，确定攻击来源。

（4）向上级领导汇报处理情况。

（5）事态严重，应保留记录资料并立即向公安部门报警。

5.数据库安全紧急处置流程。

（1）主要数据库应做双机热备设置，至少准备两个以上数据库备份。

（2）一旦数据库崩溃，应立即联系软件公司解决，并立刻向领导报告。

（3）系统修复启动后，将数据库备份取出，按照要求将其恢复到主机系统中。

（4）如果两个备份均无法恢复，应立即向有关厂商请求紧急支援。

6.广域网线路中断紧急处置流程。

（1）广域网线路中断后，应立即启动线路接续工作，同时向领导报告。

（2）迅速判断故障节点，查明故障原因及时恢复网络。

（3）如故障节点属电信部门管辖范围，立即与电信维护部门联系，要求修复。

7.局域网中断紧急处置流程。

（1）配置好备用网络设备，存放在指定的地方。

（2）局域网中断后，网络维护人员应立即判断故障节点，查明原因。

（3）如属线路故障，应重新安装线路。

（4）如属路由器、交换机等网络设备硬件故障，应立即使用备用设备，并调试通畅。

（5）如属路由器、交换机配置文件破坏等软件故障，应迅速按照要求重新导入备份配置。

（6）向上级领导汇报处理情况。

8.设备安全紧急处置流程。

（1）网关、服务器等关键设备损坏后，应及时向领导报告。

（2）如果能够自行恢复，应立即使用备用部件更换受损部件。

（3）如不能自行恢复的，立即与设备提供商联系，请求前来维修。

9.监控室漏水紧急处置流程如下：

（1）发生监控室漏水时，第一目击者应立即通知机房管理人员。

（2）若空调系统出现渗漏水，监控室管理人员应立即安排停用故障空调，清除监控室积水，并及时联系设备供应方处理，同时启动备用空调，必要情况下可临时用电扇对服务器进行降温。

（3）若为墙体或窗户渗漏水，监控室管理人员应立即采取有效措施确保监控室安全，同时安排通知办公室，及时清除积水，维修墙体或窗户，消除渗漏水隐患。

10.监控室灭火流程。

一旦发生火灾，应遵循下列原则：

（1）首先确保人员安全；其次保证关键设备、数据的安全；第三确保一般设备安全。

（2）人员疏散程序是：按响火警警报，并通过119电话向消防请求支援，所有不参与灭火的人员按照预先确定的路线撤离。

（3）向上级领导汇报处理情况。

11.雷击事故处置流程：

（1）接到雷暴红色预警天气，应急工作小组人员在下班后应及时关闭所有服务器，切断电源，暂停内部计算机网络工作。

（2）雷暴天气结束后，应急工作小组人员应及时开通服务器，恢复内部计算机网络工作，对设备和数据进行检查。出现故障的，应急工作小组应将故障情况及时报告领导小组。

（3）因雷击造成损失的，应急工作小组人员应会同相关部门进行核实、报损，并在调查工作结束后一日内书面报告领导小组。

12.电源中断后的处置流程。

（1）停电发生后，信息技术科调查停电原因，并及时响应应急处理。

（2）按预先设定的顺序逐个关掉网络设备和服务器的服务程序和电源，向领导汇报处理情况。

（3）电子评标室遇到突然停电，应及时关闭电源，向领导汇报处理情况，按长白山保护开区公共资源交易平台隔夜评标管理暂行办法执行。

（4）视频监控现场录像遇到突然停电，应及时关闭电源，向上级领导汇报处理情况。

13.监控室设备防盗被盗或人为损害紧急处置流程：

（1）监控室管理人员每日查看、清点设备并锁好房门。

（2）监控室管理人员每日检查录像监控服务器状态，确保监控画面正常，并检查每日录像正常性、完整性。

（3）发生设备被盗或人为损害设备情况时，使用者或管理者应立即报告领导小组，同时保护好现场。并通知保安及公安部门，一同核实审定现场情况，清点被盗物资或盘查人为损害情况，做好必要的影像记录和文字记录。

（4）事发当事人应积极配合公安部门进行调查，并将有关情况向领导小组汇报。

(四) 监督管理

　 1.宣传、培训和演练

中心应采用多种形式，宣传相关法律法规和信息安全基础知识，提高网络与信息安全应急防范意识。

加强对工作人员、管理人员、领导干部的应急管理、应急处置及组织指挥等培训，并对应急管理和处置人员进行相应的技能培训。

领导小组组织相关业务部门定期开展演练，模拟处置影响较大的网络与信息安全事件，检验预案的可执行性。

2.奖励与惩罚

网络与信息安全应急处置事件实行行政领导负责制和责任追究制。

对在应急处置工作中做出突出贡献的集体和个人，给予表彰和奖励。对于迟报、谎报、瞒报、漏报网络与信息安全事件重要情况或在应急处置工作中有其他失职、渎职行为的，依法对有关责任人给予行政处分；构成犯罪的，依法追究刑事责任。

（五）后期处置

应急响应结束后应对安全事件的处理过程予以总结并形成报告，其内容包括:导致事件的原因分析(尽量辨别其属于偶发事件还是必然事件)，事件造成的危害和恢复程度，是否存在遗留问题，以及关于应急响应方面的改进建议等。

本预案自发布之日起执行。

 

 

附件1：联系人员清单

附件2：软硬件提供商、运维单位联系单

附件3：网络与信息安全突发事件报告单